本申請實施例公開了基于Evnoy架構(gòu)的微服務接口認證系統(tǒng)、方法及裝置，本申請實施例提供的技術(shù)方案通過在權(quán)限驗證中心適配LDS接口，對LDS接口配置監(jiān)聽器和Lua過濾器，并與Envoy網(wǎng)關(guān)關(guān)聯(lián)，以根據(jù)權(quán)限驗證中心的各Api接口的權(quán)限配置對Envoy網(wǎng)關(guān)中對自身本地存儲的訪問權(quán)限驗證規(guī)則動態(tài)更新，實現(xiàn)了將Api接口權(quán)限配置映射為Envoy網(wǎng)關(guān)中自身的過濾驗證配置；在支持Api接口權(quán)限配置動態(tài)更新管理的同時，規(guī)避了每一次Api接口調(diào)用時需要進行一次鑒權(quán)請求的額外開銷。

技術(shù)領(lǐng)域

本申請實施例涉及接口通信技術(shù)領(lǐng)域，尤其涉及一種基于Envoy架構(gòu)的微服務接口認證系統(tǒng)、基于Envoy架構(gòu)的微服務接口認證方法、基于Envoy架構(gòu)的微服務接口認證裝置、基于Envoy架構(gòu)的微服務接口認證設(shè)備及存儲介質(zhì)。

背景技術(shù)

近年來隨著云計算基礎(chǔ)設(shè)置和微服務架構(gòu)的不斷發(fā)展，微服務開發(fā)更加聚焦在業(yè)務本身，而將服務發(fā)現(xiàn)、服務調(diào)用、服務權(quán)限管理、統(tǒng)一登錄認證中心一些框架功能統(tǒng)一到基礎(chǔ)軟件設(shè)施建設(shè)中。

目前服務權(quán)限認證逐步從Cookie(儲存在用戶本地終端上的數(shù)據(jù))/Session(會話控制，Session對象存儲特定用戶會話所需的屬性及配置信息)機制轉(zhuǎn)變?yōu)閮A向無狀態(tài)的Token認證方式。Token認證方式的大致流程為：客戶端使用用戶名跟密碼請求登錄，服務端收到請求，驗證用戶名及密碼，當驗證成功后，服務端會簽發(fā)一個令牌，把令牌發(fā)送給客戶端，客戶端收到令牌后把令牌存儲起來，比如放到Cookie中或者本地儲存器，客戶端每次向服務器請求資源時都需要帶著服務端簽發(fā)的令牌，服務端收到請求時驗證客戶端帶著的令牌，如果驗證成功，才返回客戶端請求的數(shù)據(jù)。例如JWT(json?web?tokens)技術(shù)，充分利用微服務的無狀態(tài)設(shè)計理論。當前大部分Api網(wǎng)關(guān)，如Kong、Nginx、Envoy均能對JWT進行解析和驗證，以實現(xiàn)初步的服務Api接口的訪問認證。

但是當細化到接口層面的權(quán)限管理的應用場景下，隨著不斷的新接口上線，舊接口的權(quán)限調(diào)整等日常微服務業(yè)務逐步開發(fā)，需要一個服務API接口權(quán)限管理中心的介入，以便運營人員統(tǒng)一管理接口的權(quán)限變更和支持接口訪問權(quán)限的驗證。同時大部分Api網(wǎng)關(guān)均支持接入外部權(quán)限驗證中心，以便實現(xiàn)每一次服務Api接口訪問權(quán)限時，通過外部權(quán)限驗證中心對Api接口訪問權(quán)限進行驗證，為此帶來的代價就是每一次Api接口的調(diào)用在進行權(quán)限驗證時，都會帶來一次額外的鑒權(quán)請求。

發(fā)明內(nèi)容

本申請實施例提供基于Evnoy架構(gòu)的微服務接口認證系統(tǒng)、方法、裝置、設(shè)備及存儲介質(zhì)，以實現(xiàn)無需每次調(diào)用第三方權(quán)限檢驗接口進行訪問權(quán)限驗證，降低Api接口對服務本身調(diào)用時間的開銷。

在第一方面，本申請實施例提供了基于Evnoy架構(gòu)的微服務接口認證系統(tǒng)，包括客戶端、Envoy網(wǎng)關(guān)和權(quán)限驗證中心，所述Envoy網(wǎng)關(guān)和權(quán)限驗證中心均與客戶端連接；

所述權(quán)限驗證中心用于配置各個Api接口的訪問權(quán)限，并適配有與所述Envoy網(wǎng)關(guān)關(guān)聯(lián)的LDS接口；所述LDS接口上配置有監(jiān)聽器和Lua過濾器，以收集所述訪問權(quán)限，生成訪問權(quán)限驗證規(guī)則輸送至Envoy網(wǎng)關(guān)，使Envoy網(wǎng)關(guān)根據(jù)所述訪問權(quán)限驗證規(guī)則動態(tài)更新本地存儲的訪問權(quán)限驗證規(guī)則；所述Envoy網(wǎng)關(guān)用于根據(jù)本地存儲的訪問權(quán)限驗證規(guī)則對來自客戶端的訪問請求中的訪問令牌進行合法性驗證。

在第二方面，本申請實施例提供了一種基于Evnoy架構(gòu)的微服務接口認證方法，包括：

通過LDS接口接收來自權(quán)限驗證中心的訪問權(quán)限驗證規(guī)則，所述訪問權(quán)限驗證由權(quán)限驗證中心通過配置并收集各個Api接口的訪問權(quán)限獲得；

根據(jù)所述訪問權(quán)限驗證規(guī)則動態(tài)更新本地存儲訪問權(quán)限驗證規(guī)則；

接收客戶端的訪問請求，所述訪問請求中包含訪問令牌和有效載荷，所述訪問令牌包括訪問時效、簽發(fā)機構(gòu)、安全協(xié)議、校驗碼、隨機字符串、權(quán)限標識、用戶ID中的任意一種或多種；